A criptografia utilizada pelo Windows XP é baseada na utilização de um par de chaves de criptografia. Uma chave é utilizada para criptografar os dados e a outra chave do par é utilizada para descriptografar os dados. A única maneira de descriptografar os dados e ter acesso às informações é tendo acesso às chaves de criptografia. Estas chaves são armazenadas em um Certificado digital, certificado este que é gerado, automaticamente, pelo Windows XP, a primeira vez que o usuário criptografa um arquivo ou pasta. Neste Certificado digital estão todas as informações necessárias para criptografar e descriptografar arquivos.

Cada usuário que criptografa/descriptografa arquivos possui o seu próprio Certificado digital, gerado automaticamente pelo Windows XP. Um certificado adicional também é gerado para a conta configurada como Agente de recuperação. Desta maneira se o usuário que criptografou arquivos ou pastas deixar a empresa, será possível descriptografar os seus dados, utilizando a conta configurada como Agente de recuperação, uma vez que esta conta possui cópia do Certificado digital necessário a tal operação.

O Certificado digital nada mais é do que um arquivo que contém as informações necessárias para trabalhar com criptografia no Windows XP. Como todo arquivo, fica gravado no disco rígido do computador. Acontece que, se houver um problema com o disco rígido, as cópias do certificado do usuário e do certificado do agente de recuperação serão perdidas (caso não haja uma cópia de segurança) e, sem um destes certificados, ficará IMPOSSÍVEL descriptografar os arquivos/pastas criptografados pelo usuário. Na prática, significa que perderemos o acesso aos dados. Para evitar que isto aconteça, devemos fazer uma cópia de segurança, preferencialmente em disquete ou em CD, do Certificado digital gerado para o usuário. É importante lembrar que este certificado somente será gerado na primeira vez que o usuário criptografar alguma pasta ou arquivo.

A seguir veremos como fazer o backup do certificado digital do usuário, do certificado do agente de recuperação e como restaurar o certificado digital do usuário. Por padrão, a conta Administrador é configurada como agente de recuperação.

Exemplo 1: Para fazer o backup do certificado do Agente de recuperação, siga os passos indicados a seguir:

1.       Faça o logon com uma conta do tipo Administrador do computador.
2.       Abra o Painel de controle.
3.       Abra a opção Ferramentas administrativas.
4.       Abra o console Diretiva de segurança local.
5.       Dê um clique no sinal de + ao lado da opção Diretivas de chave pública.
6.       Nas opções que são exibidas dê um clique na opção Sistemas de arquivos criptografados. No painel da direita será exibido o Certificado do Agente de recuperação, que por padrão é a conta Administrador.
7.       No painel da direita, clique com o botão direito do mouse na conta Administrador. No menu que é exibido selecione o comando Todas as tarefas -> exportar. Será aberto o Assistente para exportação de certificados.
8.       A primeira tela é apenas informativa. Dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente.
9.       Nesta etapa você deve optar por exportar ou não a chave particular do certificado. A chave particular é um mecanismo de proteger o acesso ao Certificado digital, através de uma senha. Se a senha da conta Administrador estiver em branco, apenas estará habilitada a opção “Não, não exportar a chave particular”, conforme indicado na Figura 10.1

Figura 10.1 Definindo opções de exportação do Certificado do agente de recuperação.

10.     Certifique-se de que a opção “Não, não exportar a chave particular” esteja marcada e dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente.
11.     Surge uma tela perguntando o formato para exportação do certificado. Certifique-se de que a opção X.509 binário codificado por DER (*.cer) esteja selecionada e dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente.
12.     Surge uma tela solicitando o nome do arquivo para o qual será exportado o certificado. É recomendado que você exporte para um disquete ou para um drive de rede. Certifique-se de que você colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_ag_recup.
13.     Dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente. O Windows XP exporta o certificado para o arquivo especificado no drive de disquete.
14.     Será exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar (Back). Dê um clique no botão Concluir (Finish), para fechar o Assistente para exportação de certificados.
15.     Surge uma mensagem informando que a exportação foi concluída com êxito. Dê um clique no botão OK para fechar esta mensagem.
16.     Você estará de volta ao console Configurações locais de segurança e uma cópia do Certificado digital do Agente de recuperação foi gravada no disquete. No evento de uma falha do disco rígido, esta cópia pode ser utilizada para descriptografar os arquivos e pastas criptografadas, conforme mostraremos mais adiante. Feche o console Configurações locais de segurança.

Exemplo 2: Para fazer o backup do Certificado digital do usuário, gerado automaticamente pelo Windows XP, quando o usuário criptografa um arquivo ou pasta pela primeira vez, siga os passos indicados a seguir:

1.       Faça o logon com uma conta do usuário, para o qual você deseja fazer uma cópia de segurança do Certificado digital.
2.       Abra o Internet Explorer.
3.       Selecione o comando Ferramentas -> Opções da Internet.
4.       Na janela Opções da Internet que é aberta, dê um clique na guia Conteúdo.
5.       Na guia Conteúdo dê um clique no botão Certificados. Será aberta a janela Certificados.
6.       Na guia Pessoal, dê um clique no certificado que corresponde ao nome do usuário logado, conforme exemplo indicado na Figura 10.2, onde foi marcado o certificado para o usuário Pedro Pereira Xunaré.

Figura 10.2 A guia Pessoal da janela Certificados.

7.       Clique no botão Exportar, e será aberto o Assistente para exportação de certificados, com o qual já trabalhamos no exemplo anterior.
8.       A primeira tela do assistente é apenas informativa; dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente.
9.       Nesta etapa você deve optar por exportar ou não a Chave particular do certificado.
10.     Certifique-se de que a opção “Sim, exportar a chave particular” esteja marcada e dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente.
11.     Surge uma tela perguntando o formato para exportação do certificado. Aceite as configurações sugeridas pelo assistente e dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente.
12.     Nesta etapa é solicitada uma senha de proteção para abertura do arquivo no qual será gravado o certificado. Digite a senha duas vezes para confirmação e dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente. Esta senha não precisa ser igual à senha de logon do usuário, cujo certificado está sendo exportado.
13.     Surge uma tela solicitando o nome do arquivo para o qual será exportado o certificado. É recomendado que você exporte para um disquete ou para um drive de rede. Certifique-se de que você colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_do_jsilva.
14.     Dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente. O Windows XP exporta o certificado, para o arquivo especificado no drive de disquete.
15.     Será exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar (Back). Dê um clique no botão Concluir (Finish), para fechar o Assistente para exportação de certificados.
16.     Surge uma mensagem informando que a exportação foi concluída com êxito. Dê um clique no botão OK para fechar esta mensagem.
17.     Você estará de volta à guia Pessoal da janela Certificados e uma cópia do Certificado digital do usuário logado foi gravada no disquete. No evento de uma falha do disco rígido, esta cópia pode ser utilizada para descriptografar os arquivos e pastas criptografados pelo usuário associado ao certificado. Feche o console Configurações locais de segurança.
18.     Clique no botão Fechar para fechar a janela Certificados.
19.     Você estará de volta à janela Opções da Internet. Dê um clique no botão OK para fechá-la.
20.     Você estará de volta ao Internet Explorer. Feche-o.

Com estes dois exemplos, aprendemos a exportar o certificado do agente de recuperação e também o certificado do usuário. Estes certificados podem ser importados a partir do disquete, no evento de falha do certificado original. É sempre recomendado que você proteja os certificados com a definição de uma senha e mantenha o disquete em local seguro, pois caso contrário qualquer usuário que tiver acesso ao disquete poderá importar o certificado (conforme veremos logo a seguir) e utilizá-lo para ter acesso aos seus arquivos e pastas criptografados. Por isso à importância da definição de uma senha para exportação do certificado, pois esta senha será solicitada quando da importação do certificado. O certificado somente será importado com sucesso, se a senha correta for informada.

Na Figura 10.3 vemos os dois arquivos, com os certificados que foram exportados nos exemplos 1 e 2. Observe que o Windows XP usa ícones diferentes para o certificado do Agente de recuperação e para o certificado de usuário.

Figura 10.3 Cópia de segurança dos certificados.

Agora vamos ver como importar um certificado a partir de um arquivo.

Exemplo 3: Para importar um certificado, siga os passos indicados a seguir:

1.       Abra a pasta onde está o certificado. No nosso exemplo, use o Meu computador ou o Windows Explorer para acessar o disquete, onde está o arquivo com o certificado a ser importado.
2.       Clique com o botão direito do mouse no arquivo com o certificado a ser importado. Se você estiver importando o certificado do agente de recuperação, no menu que surge, dê um clique na opção Importar certificado. Se você estiver importando o certificado de um usuário, no menu de opções que é exibido, dê um clique na opção Instalar PFX.
3.       No nosso exemplo vamos importar o certificado de usuário, exportado no Exemplo 2. Clique com o botão direito do mouse no arquivo correspondente ao certificado a ser importado e no menu de opções que surge, dê um clique na opção Instalar PFX. Será aberto o Assistente para importação de certificados.
4.       A primeira tela é apenas informativa. Dê um clique no botão Avançar (Next), para seguir para a próxima etapa do assistente.
5.       O campo Nome do arquivo já vem preenchido com o caminho e o nome do arquivo no qual clicamos com o botão direito do mouse. Dê um clique no botão Avançar (Next), para seguir para a próxima etapa do assistente.
6.       Se houver uma senha definida para o certificado, surgirá uma tela solicitando que seja digitada a senha. Digite a senha e dê um clique no botão Avançar (Next), para seguir para a próxima etapa do assistente.
7.       Nesta etapa selecionamos o local para onde queremos importar o certificado. Aceite a opção sugerida pelo assistente, que por padrão é “Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado”, conforme indicado na Figura 10.4.

Figura 10.4 Definindo o local de armazenamento dos certificados.

8.       Dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente.
9.       Será exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar (Back). Dê um clique no botão Concluir (Finish), para fechar o Assistente para importação de certificados.
10.     Surge uma mensagem informando que a importação foi concluída com êxito. Dê um clique no botão OK para fechar esta mensagem.

Agora sim, estamos prontos para começar a trabalhar com a criptografia no Windows XP, pois já sabemos como garantir o acesso aos dados criptografados, através da cópia de segurança dos certificados digitais do usuário e do agente de recuperação.